L’analisi dello storico difensore dei diritti digitali. La storia si ripete: sono vent’anni che cercano di mettere fuori gioco la crittografia. Il potere non accetta limiti che siano conseguenza di diritti dei cittadini
di Andrea Monti, Alcei – Agendadigitale.eu del 16 gennaio 2015
L’idea del premier inglese David Cameron di bloccare servizi di comunicazione che sfruttano la crittografia non deve sorprendere. Il dibattito sulla crittografia si trascina stancamente da oltre vent’anni sempre negli stessi termini, fin da quando nel 1991 Phil Zimmermann sfidò il governo americano esportando il codice sorgente di PGP, il “padre” dei sofwtare crittografici.
Da un lato, i protettori dell’ordine costituito non perdono occasione di creare allarme sostenendo che la crittografia forte (quella senza “passepartout” che consentono di aggirare le protezioni dei messaggi) aiuta delinquenti, terroristi e pedofili.
Dall’altro, i paladini dei diritti civili che rispondono evidenziando che la crittografia debole (quella cpn il passepartout) indebolisce la sicurezza degli individui e non impedisce ai malintenzionati di usarne di più forte.
In mezzo, spregiudicati venditori di olio di serpente escono periodicamente sul mercato proponendo l’ennesimo algoritmo “proprietario” che garantisce massima sicurezza (anche se nessuno lo può collaudare perchè è “segreto”), o un rivoluzionario sistema di crittografia che può essere violata solo dai governi.
Ogni occasione è buona per cercare di far pendere la bilancia a favore dell’una o dell’altra tesi. Le rivelazioni di Assange e Snowden hanno dato fiato ai sostenitori della crittografia, il massacro di Charlie Hebdo ha consentito ai governanti di rimettere sul tavolo proposte di messa al bando della crittografia forte, in un continuo di corsi e ricorsi (anzi, “cicli e ricicli” come disse in un’intervista televisiva una nota soubrette).
La realtà, tuttavia, è molto più magmatica di quanto le posizioni radicalizzate dei due schieramenti (pro e contro la crittografia) lascino o possano intendere.
La crittografia è una branca della matematica ed è fatta di algoritmi che devono essere “tradotti” in software e poi fatti funzionare da computer o da apparati specializzati.
In ciascuno di questi passaggi si annida la possibilità di compiere errori che potrebbero anche sovrapporsi. Basta pensare al fatto che non esistono software privi di difetti e quante più sono le linee di codice che li compongono, tanto più aumento la probabilità che ci siano degli errori. E’ ciò che rende possibile la tanto diffusa attività di bug-hunting che, di tanto in tanto, guadagno gli onori della cronaca generalista quando viene scoperta questa o quella vulnerabilità di una piattaforma online o di un software molto utilizzato. Anche se si tratta di PGP o di TrueCrypt.
La potenza di calcolo e i metodi di crittanalisi a disposizione di chi ha veramente necessità di “rompere” protezioni crittografiche è cresciuta oltre l’immaginabile e chiavi o passphrase che qualche anno fa garantivano “millenni” di inviolabilità ora sono relativamente fragili.
Dall’altro lato, è anche vero che in certi casi il tempo necessario a rompere la protezione di un testo cifrato con un algoritmo non particolarmente robusto potrebbe fare la differenza fra la vita e la morte di un ostaggio o di una persona sequestrata e quindi sarebbe auspicabile che la crittografia non fosse così facilmente disponibile.
Ma seguendo questa linea di pensiero, allora dovremmo eliminare dalle nostre case trapani, martelli, coltelli da cucina e altri attrezzi pericolosi che spessissimo vengono utilizzati per commettere crimini efferati.
Stranamente, però, mentre sono disponibili i dati dei reati commessi utilizzando questi strumenti fisici, non ci sono ancora studi attendibili e imparziali che dimostrino se e in che modo la disponibilità di crittografia abbia impedito di individuare colpevoli oppure ostacolato indagini.
In tutti i convegni ai quali ho partecipato negli ultimi vent’anni, quando veniva fuori questo argomento, chi lo sosteneva non è mai stato in grado di “dare i numeri”, rifugiandosi dietro l’impossibilità di diffondere “informazioni riservate” o di “sicurezza nazionale”.
E’ evidente che le democrazie moderne che obbediscono a una logica di tipo hobbesiano secondo la quale il cittadino è un “nemico” e i totalitarismi di stampo kantiano basati sul concetto di Stato etico che “sa” cosa è bene per i propri cittadini sono infastiditi da una protezione difficile (attenzione, difficile, non impossibile) da aggirare.
Come è evidente che le prove storiche non consentono ai cittadini di “fidarsi” di chi dichiara di fare la “cosa giusta”.
Come se ne esce?
La soluzione è semplice ma impraticabile: rispondere alla antica domanda “Chi controlla i controllori?”
Il problema di Prism, Echelon e di tutte le varie incarnazioni dei progetti di sorveglianza globale che vedono nella libera disponibilità di crittografia forte il proprio nemico, è che partono dal presupposto di esercitare un potere senza alcuna forma di controllo efficace ed effettivo. Se, come diceva Spiderman, da un grande potere derivano grandi responsabilità, allora è semplicemente inaccettabile chiedere “atti di fede” ai cittadini, senza dare loro la possibilità di controllare in che modo sono stati utilizzati questi “poteri straordinari”.
E dunque, in attesa che gli Stati emanino leggi che oltre a dare loro poteri, attribuiscono i corrispondenti diritti ai cittadini, non resta che continuare a giocare alla solita, eterna rincorsa: da un lato si costruiscono algoritmi sempre più complessi, dall’altro si cercano metodi per violarli.
Così è stato, così è, così sarà sempre.
Possibly Related Posts:
- Chi ci protegge dal dossieraggio tecnologico?
- Webscraping e Dataset AI: se il fine è di interesse pubblico non c’è violazione di copyright
- Perché Apple ha ritirato la causa contro la società israeliana dietro lo spyware Pegasus?
- Le sanzioni UE ad Apple e Google aprono un altro fronte nella guerra contro Big Tech (e incrinano quello interno)
- La rottura tra Stati e big tech non è mai stata così forte